Page 1 sur 2

[Résolu] Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 13:12
par okube
Bonjour tout le monde,

J'ai soucis avec un virus répondant au doux nom de zeroaccess et je n'arrive pas a le cajoler suffisamment pour qu'il daigne partir  

Comme j'ai horreur des passagers clandestins j'ai décidé d'envoyer de nombreux hommes mais aucuns n'a réussit à l'éradiquer totalement (le plus efficace ayant été Rogue killer).

Grâce à lui (et au tutoriel du site de l'éditeur) j'ai supprimer les clé de registres mais  le fichier de base reste toujours présent, impossible de le supprimer, roguekiller le trouve dans son analyse, mais après la suppression je dois redémarrer le PC et une fois fait le fichier est toujours là, donc la dernière partie du tutoriel est dans mon cas inefficace.

J'ai utilisé également  malwarebyte, Avast, et ADW mais cela na rien donné de probant (il ne détecte rien de spécial....).

Voici le rapport de Roguekiller juste après le scan et avant la suppression (de toute façon ca ne supprime plus rien).

RogueKiller V8.7.6 [Oct 28 2013] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Cédric [Droits d'admin]
Mode : Recherche -- Date : 11/06/2013 13:00:01
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 6 ¤¤¤
[C??�dric][SUSP UNIC] ABBA - Mamma Mia Soundtrack [2008] - Raccourci.lnk : C:\Users\C??�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ABBA - Mamma Mia Soundtrack [2008] - Raccourci.lnk [x] - TROUVÉ
[C??�dric][SUSP UNIC] DM-76.exe : C:\Users\C??�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DM-76.exe [x] - TROUVÉ
[C??�dric][SUSP UNIC] FacebookVideoCallSetup_v1.2.203.0.exe : C:\Users\C??�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FacebookVideoCallSetup_v1.2.203.0.exe [x] - TROUVÉ
[C�dric][SUSP UNIC] ABBA - Mamma Mia Soundtrack [2008] - Raccourci.lnk : C:\Users\C�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ABBA - Mamma Mia Soundtrack [2008] - Raccourci.lnk [x] - TROUVÉ
[C�dric][SUSP UNIC] DM-76.exe : C:\Users\C�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DM-76.exe [x] - TROUVÉ
[C�dric][SUSP UNIC] FacebookVideoCallSetup_v1.2.203.0.exe : C:\Users\C�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FacebookVideoCallSetup_v1.2.203.0.exe [x] - TROUVÉ

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Repertoire] Install : C:\Program Files\Google\Desktop\Install [-] -- TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] IAT @iexplore.exe (GetProcAddress) : KERNEL32.dll - HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71B81E4B)
[Address] IAT @iexplore.exe (RegGetValueW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x76500E47)
[Address] IAT @iexplore.exe (RegOpenKeyExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650468D)
[Address] IAT @iexplore.exe (RegCloseKey) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650469D)
[Address] IAT @iexplore.exe (RegQueryValueExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x765046AD)
[Address] IAT @iexplore.exe (StrStrIW) : api-ms-win-downlevel-shlwapi-l1-1-0.dll - HOOKED (C:\Windows\system32\shlwapi.DLL @ 0x75E046E9)
[Address] IAT @iexplore.exe (RegGetValueW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x76500E47)
[Address] IAT @iexplore.exe (RegOpenKeyExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650468D)
[Address] IAT @iexplore.exe (RegCloseKey) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650469D)
[Address] IAT @iexplore.exe (RegQueryValueExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x765046AD)
[Address] IAT @iexplore.exe (StrStrIW) : api-ms-win-downlevel-shlwapi-l1-1-0.dll - HOOKED (C:\Windows\system32\shlwapi.DLL @ 0x75E046E9)
[Address] IAT @iexplore.exe (RegGetValueW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x76500E47)
[Address] IAT @iexplore.exe (RegOpenKeyExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650468D)
[Address] IAT @iexplore.exe (RegCloseKey) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650469D)
[Address] IAT @iexplore.exe (RegQueryValueExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x765046AD)
[Address] IAT @iexplore.exe (StrStrIW) : api-ms-win-downlevel-shlwapi-l1-1-0.dll - HOOKED (C:\Windows\system32\shlwapi.DLL @ 0x75E046E9)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
-- %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1    localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) SAMSUNG HD103UJ ATA Device +++++
--- User ---
[MBR] 17e30464dca2936e54de9f2db9c3484d
[BSP] 4f727df78f9711a5a8ce098120c50b68 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953766 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ USB) USB DISK 2.0 USB Device +++++
--- User ---
[MBR] 156878b90cc57a7fc62fd1aab8c7dfd8
[BSP] 1b8653736723294bf7879381e5a295eb : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 3816 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine :
RKreport[0]_D_11062013_110957.txt;RKreport[0]_D_11062013_112540.txt;RKreport[0]_D_11062013_115245.txt
RKreport[0]_D_11062013_120239.txt;RKreport[0]_D_11062013_120446.txt;RKreport[0]_D_11062013_122042.txt
RKreport[0]_S_11062013_110450.txt;RKreport[0]_S_11062013_111752.txt;RKreport[0]_S_11062013_113221.txt
RKreport[0]_S_11062013_115006.txt;RKreport[0]_S_11062013_120224.txt;RKreport[0]_S_11062013_120415.txt
RKreport[0]_S_11062013_121605.txt;RKreport[0]_S_11062013_123410.txt


Merci de me donner une solution efficace .

PS: j'ai utilisé ZHP mais j'ai du mal à voir son utilité, mais bon je peux poster un rapport si besoin

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 14:44
par dédétraqué
Salut okube


Relance pour la suppression :

- Fermes les applications et programmes en cours.
- Double clique sur RogueKiller.exe pour lancer le programme
(Vista/Seven - Faire un clique droit sur RogueKiller.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme)
- Attendre que le Prescan ait fini ...
- Lance un scan afin de débloquer le bouton Suppression à droite.
- Clic sur Suppression.
- Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), poste le rapport
- Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe


@++

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 15:24
par dédétraqué
Salut okube


Ce rapport est encore le mode recherche :
Mode : Recherche -- Date : 11/06/2013 15:10:38

Faut cliquer sur le bouton Suppression à droite.


@++

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 15:30
par okube
Bonjour Dédétraqué et merci de ton temps, (désolé de l'erreur )

Voici le rapport en question (après la suppression, roguekiller a demandé à redemarrer le pc ce que j'ai fait, le message à donc été envoyé après le redemarrage).

RogueKiller V8.7.6 [Oct 28 2013] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Cédric [Droits d'admin]
Mode : Suppression -- Date : 11/06/2013 15:15:39
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 6 ¤¤¤
[C??�dric][SUSP UNIC] ABBA - Mamma Mia Soundtrack [2008] - Raccourci.lnk : C:\Users\C??�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ABBA - Mamma Mia Soundtrack [2008] - Raccourci.lnk [x] -
[C??�dric][SUSP UNIC] DM-76.exe : C:\Users\C??�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DM-76.exe [x] -
[C??�dric][SUSP UNIC] FacebookVideoCallSetup_v1.2.203.0.exe : C:\Users\C??�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FacebookVideoCallSetup_v1.2.203.0.exe [x] -
[C�dric][SUSP UNIC] ABBA - Mamma Mia Soundtrack [2008] - Raccourci.lnk : C:\Users\C�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ABBA - Mamma Mia Soundtrack [2008] - Raccourci.lnk [x] -
[C�dric][SUSP UNIC] DM-76.exe : C:\Users\C�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DM-76.exe [x] -
[C�dric][SUSP UNIC] FacebookVideoCallSetup_v1.2.203.0.exe : C:\Users\C�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FacebookVideoCallSetup_v1.2.203.0.exe [x] -

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Repertoire] Install : C:\Program Files\Google\Desktop\Install [-] -- SUPPRIMÉ AU REBOOT
[ZeroAccess][Repertoire] ... : C:\Program Files\Google\Desktop\Install\{baf4d22a-6f60-0118-7e65-f44f584fb5b4}\ \... [-] -- SUPPRIMÉ AU REBOOT
[ZeroAccess][Repertoire] : C:\Program Files\Google\Desktop\Install\{baf4d22a-6f60-0118-7e65-f44f584fb5b4}\ [-] -- SUPPRIMÉ AU REBOOT
[ZeroAccess][Repertoire] {baf4d22a-6f60-0118-7e65-f44f584fb5b4} : C:\Program Files\Google\Desktop\Install\{baf4d22a-6f60-0118-7e65-f44f584fb5b4} [-] -- SUPPRIMÉ AU REBOOT

¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] IRP[IRP_MJ_CREATE] : C:\Windows\system32\drivers\winhv.sys - HOOKED (Unknown @ 0xC272A1F8)
[Address] IRP[IRP_MJ_CLOSE] : C:\Windows\system32\drivers\winhv.sys - HOOKED (Unknown @ 0xC272A1F8)
[Address] IRP[IRP_MJ_DEVICE_CONTROL] : C:\Windows\system32\drivers\winhv.sys - HOOKED (Unknown @ 0xC272A1F8)
[Address] IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : C:\Windows\system32\drivers\winhv.sys - HOOKED (Unknown @ 0xC272A1F8)
[Address] IRP[IRP_MJ_POWER] : C:\Windows\system32\drivers\winhv.sys - HOOKED (Unknown @ 0xC272A1F8)
[Address] IRP[IRP_MJ_SYSTEM_CONTROL] : C:\Windows\system32\drivers\winhv.sys - HOOKED (Unknown @ 0xC272A1F8)
[Address] IRP[IRP_MJ_PNP] : C:\Windows\system32\drivers\winhv.sys - HOOKED (Unknown @ 0xC272A1F8)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
-- %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) SAMSUNG HD103UJ ATA Device +++++
--- User ---
[MBR] 17e30464dca2936e54de9f2db9c3484d
[BSP] 4f727df78f9711a5a8ce098120c50b68 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953766 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ USB) USB DISK 2.0 USB Device +++++
--- User ---
[MBR] 156878b90cc57a7fc62fd1aab8c7dfd8
[BSP] 1b8653736723294bf7879381e5a295eb : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 3816 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine :
RKreport[0]_S_11062013_151038.txt



En espérant que cela puis t'éclairer

PS: une chose à la fois mais en lançant firefox j'ai l'impression d'avoir star.quone8.com en meme temps, un autre virus j'imagine (je me demande à quoi sert avast au final....)

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 15:39
par dédétraqué
Salut okube


Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
http://forum.pcastuces.com/desactiver_l ... -f31s4.htm


== Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini.

Double clique sur combofix.exe, clique sur OUI et valide par Entrée

Il te sera demandé d’installer la console si elle n’est pas installer, clique sur Oui

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 16:13
par okube
Salut dédétraqué,

Voici le rapport de Combofix après le redémarrage.

ComboFix 13-11-04.01 - Cédric 06/11/2013 15:52:13.1.2 - x86
Microsoft Windows 7 Édition Intégrale 6.1.7601.1.1252.33.1036.18.3327.2326 [GMT 1:00]
Lancé depuis: c:\users\CÚdric\Desktop\ComboFix.exe
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2013-10-06 au 2013-11-06 ))))))))))))))))))))))))))))))))))))
.
.
2013-11-06 15:00 . 2013-11-06 15:00 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp
2013-11-06 15:00 . 2013-11-06 15:00 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-11-06 15:00 . 2013-11-06 15:00 -------- d-----w- c:\users\Amandine\AppData\Local\temp
2013-11-06 14:08 . 2013-11-06 14:08 26624 ----a-w- c:\windows\system32\TrueSight.sys
2013-11-06 13:51 . 2013-11-06 13:53 -------- d-----w- c:\users\Cédric\AppData\Roaming\uTorrent
2013-11-06 11:43 . 2013-11-06 11:53 -------- d-----w- c:\users\Cédric\AppData\Roaming\ZHP
2013-11-06 11:43 . 2013-11-06 11:43 -------- d-----w- c:\program files\ZHPDiag
2013-11-06 10:34 . 2013-11-06 13:54 -------- d-----w- c:\users\Cédric\AppData\Local\CrashDumps
2013-11-04 17:17 . 2013-11-04 17:18 -------- d-----w- c:\program files\qualitink
2013-11-04 17:17 . 2013-11-05 20:35 -------- d-----w- c:\program files\Torntv 2
2013-11-02 13:56 . 2013-11-02 14:10 -------- d-----w- c:\program files\JFileManager
2013-11-01 19:53 . 2013-11-01 19:58 -------- d-----w- c:\program files\adslTV
2013-11-01 18:44 . 2013-11-01 18:44 -------- d-----w- C:\found.000
2013-10-21 19:15 . 2013-10-21 19:15 -------- d-----w- c:\users\Cédric\AppData\Local\Software
2013-10-20 16:58 . 2013-10-20 16:58 -------- d-----w- c:\programdata\Oracle
2013-10-20 16:58 . 2013-10-20 16:58 -------- d-----w- c:\program files\Common Files\Java
2013-10-20 16:58 . 2013-10-08 05:50 94632 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2013-10-18 20:16 . 2013-10-18 20:16 -------- d-----w- c:\program files\Uninstaller
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-10-26 01:28 . 2012-03-30 07:57 692616 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-10-26 01:28 . 2011-12-11 08:19 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-10-05 09:44 . 2013-10-05 09:44 25485 ----a-w- C:\BdUninstallTool2013.10.05-11.44.38.reg
2013-10-04 20:07 . 2013-10-04 20:07 242240 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
2013-10-04 10:17 . 2010-11-14 13:31 466008 ----a-w- c:\windows\system32\drivers\sptd.sys
2013-10-03 18:47 . 2012-04-23 11:08 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll
2013-09-20 12:17 . 2010-12-04 14:18 899184 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\markup.dll
2013-09-20 12:16 . 2010-12-04 14:18 42776 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM-2\StartResources.dll
2013-09-20 12:16 . 2010-12-04 10:20 639312 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2013-09-01 17:55 . 2011-07-17 19:15 899184 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\markup.dll
2013-09-01 17:44 . 2010-12-04 10:20 42776 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll
2013-09-01 17:43 . 2011-07-17 19:15 639312 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight-2\SpotlightResources.dll
2013-08-30 07:48 . 2013-10-05 17:03 369584 ----a-w- c:\windows\system32\drivers\aswSP.sys
2013-08-30 07:48 . 2013-10-05 17:03 56080 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2013-08-30 07:48 . 2013-10-05 17:03 177864 ----a-w- c:\windows\system32\drivers\aswVmm.sys
2013-08-30 07:48 . 2013-10-05 17:03 61680 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
2013-08-30 07:48 . 2013-10-05 17:03 770344 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2013-08-30 07:48 . 2013-10-05 17:03 49376 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
2013-08-30 07:48 . 2013-10-05 17:03 29816 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2013-08-30 07:48 . 2013-10-05 17:03 66336 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2013-08-30 07:47 . 2013-10-05 17:02 41664 ----a-w- c:\windows\avastSS.scr
2013-08-30 07:47 . 2013-10-05 17:03 229648 ----a-w- c:\windows\system32\aswBoot.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2013-08-30 07:47 121968 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"Steam"="c:\steam\Steam.exe" [2013-10-30 1820584]
"Facebook Update"="c:\users\Cédric\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2012-07-16 138096]
"RESTART_STICKY_NOTES"="c:\windows\System32\StikyNot.exe" [2009-07-14 354304]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2013-03-14 3672640]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-12-14 47904]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2010-05-20 119152]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-06-07 421776]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2013-08-30 4858968]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2013-07-02 254336]
.
c:\users\Cédric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2011-10-19 813584]
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\3.8.130\SSScheduler.exe [2013-9-6 273296]
Microsoft Office.lnk - c:\microsoft office divers\Office10\OSA.EXE -b -l [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 10:28 72208 ----a-w- c:\program files\Common Files\Logishrd\Bluetooth\LBTWLgn.dll
.
R1 bdfwfpf;bdfwfpf;c:\program files\Common Files\BitDefender\BitDefender Firewall\bdfwfpf.sys [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2013-02-28 161384]
R3 Arrakis3;BitDefender Serveur Arrakis;c:\program files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe [x]
R3 BDFM;BDFM;c:\windows\system32\DRIVERS\bdfm.sys [x]
R3 BTCFilterService;USB Networking Driver Filter Service;c:\windows\system32\DRIVERS\motfilt.sys [2009-01-29 6016]
R3 DAUpdaterSvc;Dragon Age: Origins - Application de mise à jour;c:\jeux\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe [x]
R3 Dnetr73;D-Link USB Extensible Wireless LAN Card Driver;c:\windows\system32\DRIVERS\Dnetr73.sys [2009-06-17 552960]
R3 gtermddo;gtermddo;c:\users\CDRIC~1\AppData\Local\Temp\gtermddo.sys [x]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\3.8.130\McCHSvc.exe [2013-09-06 235216]
R3 MHIKEY10;MHIKEY10;c:\windows\system32\Drivers\MHIKEY10.sys [2010-10-01 52096]
R3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\DRIVERS\motccgp.sys [2010-12-03 20352]
R3 motccgpfl;MotCcgpFlService;c:\windows\system32\DRIVERS\motccgpfl.sys [2009-01-29 8320]
R3 Motousbnet;Motorola USB Networking Driver Service;c:\windows\system32\DRIVERS\Motousbnet.sys [2010-04-01 23424]
R3 motusbdevice;Motorola USB Dev Driver;c:\windows\system32\DRIVERS\motusbdevice.sys [2010-01-25 9472]
R3 MSHUSBVideo;NX6000/NX3000/VX2000/VX5000/VX5500/VX7000/Cinema Filter Driver;c:\windows\system32\Drivers\nx6000.sys [2010-05-20 30576]
R3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS\netaapl.sys [2011-08-02 18432]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-20 15872]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-11-14 1343400]
S0 aswRvrt;aswRvrt; [x]
S0 aswVmm;aswVmm; [x]
S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]
S1 anodlwf;ANOD Network Security Filter driver;c:\windows\system32\DRIVERS\anodlwf.sys [2009-03-06 12800]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2013-08-30 66336]
S2 MotoHelper;MotoHelper Service;c:\program files\Motorola\MotoHelper\MotoHelperService.exe [2011-01-27 226624]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2013-01-18 383264]
S3 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2013-10-04 242240]
S3 LEqdUsb;Logitech SetPoint Unifying KMDF USB Filter;c:\windows\system32\Drivers\LEqdUsb.Sys [2009-06-17 40720]
S3 LHidEqd;Logitech SetPoint Unifying KMDF HID Filter;c:\windows\system32\Drivers\LHidEqd.Sys [2009-06-17 10384]
S3 netr73;RT73 USB Extensible Wireless LAN Card Driver;c:\windows\system32\DRIVERS\netr73.sys [2011-10-05 564800]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
*Deregistered* - AVGIDSDriver
*Deregistered* - AVGIDSEH
*Deregistered* - AVGIDSFilter
*Deregistered* - AVGIDSShim
*Deregistered* - Avgrkx86
*Deregistered* - Avgtdix
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ sysagent scan
.
Contenu du dossier 'Tâches planifiées'
.
2013-11-06 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-30 01:28]
.
2013-11-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-08-31 17:21]
.
2013-11-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-08-31 17:21]
.
2013-11-06 c:\windows\Tasks\Torntv 2-codedownloader.job
- c:\program files\Torntv 2\Torntv 2-codedownloader.exe [2013-11-04 17:17]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://start.iminent.com/?appId=11CBA052-13F3-44C5-A6F0-792DDFE765A9
mStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = *.local;192.168.*.*
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Cédric\AppData\Roaming\Mozilla\Firefox\Profiles\oicr0xeo.default-1383726628066\
FF - ExtSQL: 2013-10-05 19:03; wrc@avast.com; c:\program files\AVAST Software\Avast\WebRep\FF
.
- - - - ORPHELINS SUPPRIMES - - - -
.
BHO-{63A14E7D-6F41-5A3D-08AC-4AB264A305EE} - c:\windows\system32\dot3mssm.dll
Toolbar-Locked - (no file)
HKLM-Run-BDWizReg - c:\program files\BitDefender\BitDefender 2010\bdwizreg.exe
HKLM-Run-BitDefender Antiphishing Helper - c:\program files\BitDefender\BitDefender 2010\IEShow.exe
HKLM-Run-BDAgent - c:\program files\BitDefender\BitDefender 2010\bdagent.exe
AddRemove-Dungeon Keeper II - c:\jeux\keeper2\Uninst.isu
AddRemove-Game Dev Tycoon v1.3.81.3.8 - c:\jeux\Game Dev Tycoon\uninstall.exe
AddRemove-The Sith Lords Restored Content Mod_is1 - c:\jeux\kotor 2\unins000.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_9_900_117_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_9_900_117_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - 'Explorer.exe'(4848)
c:\program files\Logitech\SetPoint\lgscroll.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\NVIDIA Corporation\Display\nvxdsync.exe
c:\windows\system32\nvvsvc.exe
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Microsoft LifeCam\MSCamS32.exe
c:\windows\system32\sppsvc.exe
c:\windows\System32\WUDFHost.exe
c:\windows\system32\taskhost.exe
c:\program files\Motorola\MotoHelper\MotoHelperAgent.exe
c:\windows\system32\schtasks.exe
c:\windows\system32\conhost.exe
c:\windows\system32\conhost.exe
c:\program files\NVIDIA Corporation\Display\nvtray.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\taskhost.exe
.
**************************************************************************
.
Heure de fin: 2013-11-06 16:09:11 - La machine a redémarré
ComboFix-quarantined-files.txt 2013-11-06 15:09
.
Avant-CF: 483 295 186 944 octets libres
Après-CF: 483 272 904 704 octets libres
.
- - End Of File - - 87D5C29F32A6296670873A870B6C8685
A36C5E4F47E84449FF07ED3517B43A31

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 16:20
par dédétraqué
Salut okube


OK cela semble bon, on va voir si des drivers ne sont pas modifié par ZeroAccess :

Image Télécharge sur ton bureau TdssKiller de kaspersky , exécute le , un rapport sera crée ici:

C:\TDSSKillerVersion_Date_Time_log.txt.
(Vista/Seven -- Faire un clique droit sur tdsskiller.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

[*] Exécute le , La fenêtre suivante va s'ouvrir :

Image

[*] Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
[*] Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir:

Image

[*] Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

[*] Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.

[*] Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

[*] Si Suspicious file est indiqué, laisse l'option cochée sur Skip

[*] Clique sur Continue puis sur Reboot now pour redémarrer le PC.

[*] Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom

Tutoriel-- http://support.kaspersky.com/viruses/so ... =208280684


@++

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 16:34
par okube
Salut dédétraqué,

Après avoir lancé tdss, il ne me détecte rien de spécial, je n'ai donc pas de rapport.

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 17:08
par dédétraqué
Salut okube


On va vérifier le PC :

Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.

- Quitte les applications en cours afin de ne pas interrompre le scan.
- Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
- Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
- Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

Ne modifie pas les autres paramètres !

Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
/md5start
consrv.dll
volsnap.sys
hidserv.dll
appmgmts.dll
eventlog.dll
winlogon.exe
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
wininet.dll
wininit.exe
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
winlogon.exe
wininit.ini
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
SAVEMBR:0
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s


- Clique sur le bouton Analyse.
- Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

Utilise cjoint.com pour poster en lien tes rapports :
http://cjoint.com/

- Clique sur Choisissez un fichier pour aller chercher le rapport OTL.txt sur le bureau
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Après fais de même avec l'autre rapport Extras.txt


@++

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 17:46
par okube
Salut Dédétraqué,

Voici le rapport OTL
http://cjoint.com/?3KhrTppjRDM

Voici le rapport Extras
http://cjoint.com/?3KhrUhvTqAY

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 18:55
par dédétraqué
Salut okube


Double clic sur OTL.exe pour le lancer.
(Vista/Seven -- Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve dans la citation ci-dessous, et colle-la dans la zone sous " Personnalisation "
Bien inclure :OTL au début du script de correction

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe /service -- (VSSERV)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\BitDefender\BitDefender Threat Scanner\scan.dll -- (scan)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe /service -- (LIVESRV)
SRV - File not found [On_Demand | Stopped] -- C:\Jeux\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe -- (DAUpdaterSvc)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe -- (Arrakis3)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Common Files\BitDefender\BitDefender Threat Scanner\trufos.sys -- (Trufos)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Common Files\BitDefender\BitDefender Threat Scanner\profos.sys -- (Profos)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\CDRIC~1\AppData\Local\Temp\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\CDRIC~1\AppData\Local\Temp\gtermddo.sys -- (gtermddo)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\CDRIC~1\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys -- (BDSelfPr)
DRV - File not found [Kernel | System | Stopped] -- C:\Program Files\Common Files\BitDefender\BitDefender Firewall\bdfwfpf.sys -- (bdfwfpf)
DRV - File not found [File_System | Boot | Stopped] -- system32\DRIVERS\bdfsfltr.sys -- (bdfsfltr)
DRV - File not found [File_System | On_Demand | Stopped] -- system32\DRIVERS\bdfm.sys -- (BDFM)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a5azdanx)
IE - HKU\S-1-5-21-3343282567-1109868670-785528280-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://start.mysearchdial.com/results.p ... 9635829ir=
IE - HKU\S-1-5-21-3343282567-1109868670-785528280-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.iminent.com/?appId=11CBA05 ... 2DDFE765A9
IE - HKLM\..\SearchScopes\{4215527D-A1CF-35CA-EBCF-7A81DB23AD57}: "URL" = http://start.mysearchdial.com/results.p ... 9635829ir=
O3 - HKLM\..\Toolbar: (BitDefender Toolbar) - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2010\IEToolbar.dll File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
[2013/11/04 18:17:40 | 000,000,000 | ---D | C] -- C:\Program Files\Torntv 2
[2013/10/21 20:15:27 | 000,000,000 | ---D | C] -- C:\Users\Cédric\AppData\Local\Software
[2013/11/06 16:03:43 | 000,001,160 | ---- | M] () -- C:\Windows\tasks\Torntv 2-codedownloader.job
[2013/05/26 16:40:30 | 000,000,000 | ---D | M] -- C:\Program Files\1-click run

:Commands
[Emptytemp]
* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


@++

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 19:12
par okube
Salut dédétraqué,

Voici le log de OTL :

http://cjoint.com/?3KhtmukSJMD

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 19:47
par dédétraqué
Salut okube


Télécharge Farbar Service Scanner (de Farbar) sur ton bureau.
http://download.bleepingcomputer.com/farbar/FSS.exe

Lance le et coche toute les cases
Patiente durant le scan, jusqu'à l'ouverture du rapport.
Poste le rapport dans ta prochaine réponse.
Note : Le rapport est également sauvegardé dans le répertoire d'exécution de Farbar Service Scanner sous le nom FSS.txt


@++

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 19:51
par okube
salut dédétraqué,

Voici le lien

http://cjoint.com/?3KhtYo9NRFg

Foutu virus, il est impossible a virer jamais vu un virus aussi détestable à détruire^^

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 20:03
par dédétraqué
Salut okube


Ben ton PC est désinfecté là, reste juste a réparé les services endommagés...

Je doit quitter, reviens dans un heure environ...


@++

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 20:04
par okube
salut dédétraqué,

A tout a l'heure pour réparé le reste alors

Merci pour ton aide précieuse

A+++

PS: par contre j'ai toujours le fichier abritant le virus de présent et insupprimable (c:\ programmes\Google\Desktop\Install\{baf4d22a-6f60-0118-7e65-f44f584fb5b4} ) y a t'il un moyen de le supprimer ou cela va se faire automatiquement via les prochaines manipulation?

PPS : Roguekiller me le détecte toujours en virus ZeroAccess

Voici le nouveau rapport de roguekiller

http://cjoint.com/?CKhuHjRzAlK

J'ai bien noté les fichiers supprimés au reboot sauf que à la fin, avant local host, il est noté infecté par zero access.... et le fichier est toujours présent impossible de le supprimer

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 21:26
par dédétraqué
Salut okube


OK, on va voir avec l'outil de symantec :
http://www.symantec.com/content/en/us/g ... Access.exe


Poste le rapport après le redémarrage.


@++

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 21:51
par okube
Salut dédétraqué,

11/06/13 21:43:56 No Infections were found.

Je suppose que ca veux dire qu'il ne trouve rien ...

Pourtant j'ai toujours ce fameux fichier au même endroit (bon je ne peux pas y accéder à cause d'un message d'erreur qui me dit que le fichier n'est pas disponible mais il existe... et rogue killer le trouve toujours... ).

Veut vraiment pas partir ce truc... 

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 21:56
par dédétraqué
Salut okube


S'il trouve rien alors on voie avec un autre outil :
http://download.eset.com/special/ESETSirefefCleaner.exe


@++

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 22:04
par okube
Il marche comment le dernier, j'ai une fenetre DOS qui apparait mais qui me met

Threat not found
you don't have win32/sirefef in your system Press any key

Normalement roguekiller est censé être le truc ultime contre ce virus zeroaccess non?

Tu as une idée de pourquoi ca ne marche pas?

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 22:12
par dédétraqué
Salut okube


Combofix aussi et il a même pas vu, on va le refaire mais cette fois on va le renommé :

Télécharge combofix.exe (de sUBs) sur le bureau :
Faire un clic droit sur ce lien :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Pour Internet Explorer

- Choisi Enregistrer la cible sous ...

Pour Firefox

- Choisi Enregistrer la cible du lien sous ...

Pour Chrome 

- Choisi Enregistrer le lien sous...

- Choisi le bureau comme lieu d'enregistrement

- Donne lui ce nom bibite.exe clique sur Enregistrer

Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
http://forum.pcastuces.com/desactiver_l ... -f31s4.htm


== Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini.

Double clique sur bibite.exe, clique sur OUI et valide par Entrée

Il te sera demandé d’installer la console si elle n’est pas installer, clique sur Oui

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\ Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 22:34
par okube
Salut dédétraqué,

Voici le rapport de combofix renommé bibite

http://cjoint.com/?3KhwH2mn0Q5

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 22:58
par dédétraqué
Salut okube


- Clique sur le menu démarrer/Exécuter, tape notepad à l’invite de commande et OK.

- Copie/colle ce qui est en citation ci-dessous dans le Bloc-Notes :

KillAll::

Folder::
C:\Program Files\Google\Desktop\Install\{baf4d22a-6f60-0118-7e65-f44f584fb5b4}
- Enregistre ce fichier sur le bureau (Impératif)

-Nom du fichier : CFScript.txt
-Type du fichier : tous les fichiers

- Clique sur Enregistrer et quitte le Bloc Notes

Important Désactive ton Antivirus et antispyware avant de faire le glisser/déposer

- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture (l’icône est un lion) :

Image

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici C:\ ComboFix.txt


@++

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 23:14
par okube
salut dédétraqué,

Voici le lien, par contre je l'ai déplacé sur la "version" bibite ca ne pose pas de soucis?

http://cjoint.com/?3KhxnzDNqzO

Avast et l'antivir windows sont intégralement désactivé.

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 23:34
par dédétraqué
Salut okube


Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook :
:dir
C:\Program Files\Google\Desktop\Install /s- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


@++

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 23:37
par okube
salut dédétraqué,

Voici le fichier en question

http://cjoint.com/?3KhxLtHKMTH

PS: Roguekiller le trouve toujours... il peut se tromper ou il est infaillible?

Virus ZeroAccess récalcitrant

Posté : jeu. 7 nov. 2013 23:44
par dédétraqué
Salut okube


Refais le scan avec Combofix et mettre ceci dans le bloc notes :

KillAll::

Folder::
C:\Program Files\Google\Desktop\Install
@++

Virus ZeroAccess récalcitrant

Posté : ven. 8 nov. 2013 00:00
par okube
salut dédétraqué,

Voici

http://cjoint.com/?3Khx7Z5jaY4

a++

Virus ZeroAccess récalcitrant

Posté : ven. 8 nov. 2013 00:16
par dédétraqué
Salut okube


On essai une ptite dernière chose, sinon je vais demandé a Tigzy de venir voir pour le souci avec RogueKiller...

Redémarre en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle ...

Relance RogueKiller en mode suppression et poste le rapport.


@++

Virus ZeroAccess récalcitrant

Posté : ven. 8 nov. 2013 00:37
par okube
salut dédétraqué,

Voici le rapport en question

http://cjoint.com/?3KiaKNJIDCU

Virus ZeroAccess récalcitrant

Posté : ven. 8 nov. 2013 00:41
par dédétraqué
Salut okube


Si tu fais un nouveau scan en mode normal, les fichiers sont-ils encore présent?


@++

Virus ZeroAccess récalcitrant

Posté : ven. 8 nov. 2013 00:46
par okube
salut dédétraqué,

Hélas oui, roguekiller les trouves toujours, ce sont les fameux fichiers censé être supprimé aux reboot d'après le fichier txt mais qui ne se suppriment pas.

Désolé de t'embêter avec ca.

Ceci dit toutes ses manipulations ont permis de diminuer l'influence du virus puisque maintenant je peux télécharger ce qui n'était pas le cas avant.

Néanmoins je ne vois pas pourquoi ce fichier et ces lignes sont toujours présentes si le virus ne fait plus effets... à moins qu'il est d'autres applications que d’empêcher le téléchargement.

A++

Virus ZeroAccess récalcitrant

Posté : ven. 8 nov. 2013 00:58
par dédétraqué
Salut okube


Je vais voir avec Tigzy demain et je te tiens au courant  

Bonne nuit...


@++

Virus ZeroAccess récalcitrant

Posté : ven. 8 nov. 2013 00:58
par okube
salut dédétraqué,

Merci de ton aide.

Bonne nuit.

A++

Virus ZeroAccess récalcitrant

Posté : ven. 8 nov. 2013 11:29
par okube
Bonjour,

Me revoila

Virus ZeroAccess récalcitrant

Posté : ven. 8 nov. 2013 15:14
par dédétraqué
Salut okube


J'ai laissé un message a Tigzy, donc on va attendre son retour  


@++

Virus ZeroAccess récalcitrant

Posté : sam. 9 nov. 2013 17:32
par dédétraqué
Salut okube


Faire un scan du PC avec Pre-Scan et poste le rapport :
http://www.security-helpzone.com/gen-ha ... ed-speech/


@++

Virus ZeroAccess récalcitrant

Posté : lun. 11 nov. 2013 11:42
par okube
salut dédétraqué,

J'ai passé le scan mais ou se trouve le rapport par contre?

Virus ZeroAccess récalcitrant

Posté : lun. 11 nov. 2013 12:53
par g3n-h@ckm@n
salut je suis le concepteur de Pre_Scan , je prends la relève pour cet outil

c'est écrit en bas de mon lien sur l autre page

c:\Pre_Scan_XX_XX_XX_XX_XX_XX.txt (les "X" sont des chiffres)

Virus ZeroAccess récalcitrant

Posté : lun. 11 nov. 2013 13:05
par okube
salut g3n-h@ckm@n,


Voici le lien


http://cjoint.com/?3Klnfj7Xrxl